零信任安全白皮书

网宿安全·2023版 零信任安全白皮书 严峻的网络威胁态势 1.1.传统边界模型面对挑战 02 1.2.数据安全与隐私合规 03 目录CONTENTS 第一章 1.3.网络攻击愈演愈烈05 2.1.零信任安全理念框架 2.2.零信任安全核心价值 第二章零信任安全框架和标准 07 09 第三章零信任典型应用场景 3.1.安全办公业务访问 10 3.2.三方人员安全接入 11 12 3.3.数据防泄露保护11 3.5.一机两用安全办公 3.4.物联网安全连接 第四章网宿零信任安全实践 4.1.网宿零信任平台能力 14 13 17 18 4.2.零信任安全建设框架17 4.2.1.远程办公访问 4.2.2.网络攻击防护 4.2.3.数据防泄露 21 4.3.零信任典型客户案例22 22 23 4.3.1.案例一：某股份银行零信任安全办公项目 4.3.2.案例二：某市政务外网零信任接入项目 4.3.3.案例三：某机械制造集团零信任远程访问项目25 小结 26 1.1. 第一章严峻的网络威胁态势 传统边界模型面对挑战 随着云、大数据、移动互联网、5G、IoT等技术的快速发展，日趋开放和复杂的网络边界已经成为互联网安全的重要挑战。传统的网络边界注重建设多重防护设施，难以应对有组织的、武器化的、以数据及业务为攻击目标的高级持续攻击，仅仅依靠传统边界防护难以应对从身份、权限、系统漏洞等多维度的攻击向量，现有的传统基于内网边界防御的框架已无法因应当下全方位网络异构多样化的挑战。整个新冠疫情时期宣告着远程办公时代的全面到来，无论大型还是小型企业，迅速因应变革工作环境，整个世界都转向线上活动，大量员工远程办公、外包协作、三方合作伙伴、供应链协同，这一切导致线上的网络和业务、数据交互快速增长，其迁移速度和规模十分惊人，多样化的人员、设备、分支、地域间的互联与业务数据访问带来更多的网络边界敞口和安全控制风险。工业OT领域的风险也不可忽视，工业控制系统由于设计之初没有考虑到海量异构设备以及外部网络的接入，随着物联网开放性日益增加、远程监控和远程操作加快普及，网络攻击者更容易利用系统性漏洞和运营薄弱环节发动入侵攻击，一旦成功即可造成多达数十亿台设备的集体沦陷，导致生产业务中断、数据被加密和窃取。从云化到ShadowIT(影子IT设施)到ICS（工业控制系统），均在工业4.0时代快速就位并准备好迅速扩张，这种转变背后潜在着巨大的网络风险，因为随之而来的就是网络暴露面大大增加。 概括而言，传统网络安全类似物理安全的做法，通过堆叠安全设备构筑组织内网边界，数据和业务均放置在企业内部IDC，假设坏人在外部、内部只有好人，护城河式防御针对的是入向威胁。随着移动业务快速扩展，物联网、车联网、智慧城市的持续发展，资产防护的安全边界越来越不清晰，传统的边界防护架构越来越显得力不从心，传统的边界安全主要存在的问题如下： 1、旧有VPN访问模式，不可避免漏洞频发，由于其服务暴露在互联网，采取偏静态化的控制机制，黑客易于渗透，通过劫持边界内的设备并横向移动攻击企业应用、关键基础设施和敏感数据；2、随着使用自带设备（BYOD）越来越普遍，设备不受企业管控，成为企业安全建设中效率成本与强安全管控的矛盾点，不安全的设备在内网接入和接入内部敏感业务系统，引入不可控风险；3、远程办公兴起和普及，2020年开始的疫情大大推动了这一进程，用户接入位置不限于企业内网，企业迫切需要随时随地快捷流畅、安全可靠的远程访问模式； 4、随着数字化转型发展，外包人员、合作伙伴、供应链上下游均需要接入不同类型的业务应用，连接人员身份、设备多样化，而配套的安全控制机制十分薄弱； 5、企业的业务资源除了部署在传统数据中心，也在不断向外部云资源扩展，包括PaaS、IaaS和SaaS的广泛应用。传统边界安全网络设备无法很好地保护企业的云上应用资源，对于云迁移的企业，需要统一保护处于企业内部、公有云上的私有应用和SaaS应用。 传统上，大多数网络和安全架构都是由企业主导设计的，数据中心作为访问需求的目标焦点，支持相对静态的用户。但数字化转型推动了对新数字功能场景的多样化需求，现在有更多的用户、设备、应用、服务需要连接交互，并且数据同时分布在企业内部外部。原来的基于一系列企业IDC边界外围安全设备的网络安全设计，已经不再满足现代数字业务的动态、泛化地域和其混合办公、协作模式的诉求。旧边界必须转变为一组以用户 和应用为中心的融合功能，并在企业需要的时间和地点进行实施支持，即动态创建的基于策略的边界控制。 1.2. 数据安全与隐私合规 近年来，中国网络安全立法进程加快，合规监管深入行业内部。网络安全不再局限于个人和企业的自身防护，开始成为涉及各行业产业链乃至国家安全的重要问题。 2022年，中国颁布多部与网络安全相关的政策法规，进一步推进国家网络、数据安全体系和能力建设，强化网络安全、数据安全和个人信息保护，从多个维度完善了安全合规要求与标准，筑牢国家数字安全屏障，为网络安全技术与产业发展提供指引。随着《网络安全法》、《数据安全法》、《个人信息保护法》等一系列基础性法律法规落地，中国已建立起一套基本的网络安全法律合规框架。 据全国信息安全标准化技术委员会发布的《2022年网络安全国家标准需求清单》，清单共包含34项标准，其中制定标准20项，修订标准14项。涉及重要数据处理、关键信息基础设施安全评测、网络安全保险、网络安全服务能力等方面，针对三部关键上位法的体系化标准、规范支持实施已经全面展开。 2022年2月，新修订的《网络安全审查办法》实施，将原来的“数据处理者”变更为“网络平台运营者”，连同关键信息基础设施运营者作为网络安全审查的规制对象，要求网络平台运营者开展数据处理活动，影响或者 可能影响国家安全的应进行网络安全审查。其中，明确规定掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。 针对数据出境专项问题，2022年7月，国家网信办公布《数据出境安全评估办法》，并于2022年9月1日起施行。《办法》规定了数据出境安全评估的范围、条件和程序，为数据出境安全评估工作提供具体指引，明确了数据处理者向境外提供在中国境内运营中收集和产生的重要数据和个人信息的安全评估适用。《办法》规定，数据处理者向境外提供重要数据，关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息，以及国家网信部门规定的其他情形，均需申报数据出境安全评估。此外，《数据出境安全评估办法》还要求数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，其中重点评估的事项包括出境数据的规模、范围、种类、敏感程度等。 云上数据安全方面，全国信安标委发布《信息技术安全技术公有云中个人信息保护实践指南》7月15日发布，自2023年2月1日实施。同期，《信息安全技术关键信息基础设施安全保护要求》国家标准获批发布，《保护要求》规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求，将于2023年5月1日实施。 同时，各地也纷纷针对数据安全提出法规和政策指引，强化《中华人民共和国数据安全法》、《中华人民共和个人信息保护法》等上位法的要求，强化属地监管和安全要求： （1）浙江省发布《浙江省公共数据条例》强调个人信息安全的保护，将于3月1日执行，《条例》共五十一条内容，明确提出打造公共数据平台，建立公共数据共享机制，构建公共数据有序开放制度。这是国内首部以公共数据为主题的地方性法规，也是保障浙江省数字化改革的基础性法规。 （2）广东省发布《广东省公共数据安全管理办法（征求意见稿）》，强调公共数据的安全性，《征求意见稿》共六章三十二条，进一步加强了数字政府公共数据安全管理，规范公共数据处理活动，促进数据资源有序开发利用，保护个人、组织的合法权益。 （3）深圳发布《公共数据安全要求》领域标准，将数据安全与网络安全等级保护要求有效结合，为《深圳经济特区数据条例》的落地提供坚实指导。 （4）《四川省数据条例》，《条例》共有八章七十条，包括总则、数据资源、数据流通、数据应用、数据安全、区域合作、法律责任和附则，自2023年1月1日起实施。 （5）《厦门经济特区数据条例》发布，《条例》为了规范数据处理活动，保障数据安全，保护自然人、法人和非法人组织的合法权益，培育数据要素市场，促进数据有序流动和开发利用。 新兴行业市场的网络安全风险，尤其互联网、云平台、数字化高度依赖和集中的各行业，也已经快速推进网络与数据安全的行业标准的体系化，以规范化的标准强化行业内的安全经营和风险控制。 2022年12月，工信部发布《工业和信息化领域数据安全管理办法（试行）》，《管理办法》作为工业和信息化领域数据安全管理顶层制度文件，共八章四十二条，重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。 2022年2月25日，工信部印发《车联网网络安全和数据安全标准体系建设指南》，聚焦车联网终端与设施网 络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点领域。 图1车联网网络安全和数据安全标准体系框架图 603安全能力评估 602安全监测与应急管理 600安全保障与支撑 601风险评估 503服务安全 502应用程序安全 500应用服务安全 501平台安全 405应用数据安全 404个人信息保护 403出境安全 400数据安全 402分类分级 401通用要求 302身份认证 301通信安全 300网联通信安全 车联网 网络安全和数据安全标准体系 204网络设施与系统安全 203路侧通信设备网络安全 202车端网络安全 200终端与设施网络安全 201车载设备网络安全 103密码应用 102总体架构 100总体与基础共性 101术语和定义 183,600,000 206,400,000 187,909,053 304,638,987 623,254,877 493,327,151 2022年4月8日，工业和信息化部等五部门联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》，该《意见》强调，加强网络安全防护，企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求。对车辆网络安全状态进行监测，采取有效措施防范网络攻击、入侵等危害网络安全的行为。 2022年8月29日，国家卫生健康委、国家中医药局、国家疾控局联合发布《医疗卫生机构网络安全管理办法》。办法共六章三十四条，涉及网络安全管理、数据安全管理、监督管理、管理保障等内容。 2022年10月，民航局印发《关于民航大数据建设发展的指导意见》，《指导意见》阐明民航大数据建设的6大主要任务和14个方面具体工作任务，要求加强法规体系建设、构建数据标准体系、提升数据管理水平、加强数据质量管理、推进数据要素流通、加强民航数据网络建设、强化安全管理责任、提升安全保障能力等。 1.3.网络攻击愈演愈烈 医疗健康、金融、教育领域分别出现8%、41%和275%的上升。 6亿 4亿 2亿 0 2017 2018 2019 2020 2021 2022 图2全球勒索软件攻击数量趋势 随着各行业数字化的快速进展，疫情期大大促进了远程办公业务、云化服务的广泛应用，同时也使得组织的安全敞口变大，在缺少体系化防御措施的情况下，在各个行业网络攻击的态势更趋向严重。据SonicWall在2023年发布的网络威胁报告，在整个2022年度，恶意软件、网络入侵、加密劫持和物联网恶意软件出现明显增长，其中，入侵尝试高达6.3万亿次，恶意软件攻击达55亿次，而针对物联网的恶意软件攻击出现87%上升幅度，达1.12亿次。另外，位于业界No.1关注热度的勒索软件攻